Aller au contenu principal

6.1. Considérations relatives à la vie privée

6.1. Considérations relatives à la vie privée

La vie privée est une considération importante pour les applications utilisant HTTP. Les applications DEVRAIENT:

  • Minimiser la quantité d'informations personnelles collectées et transmises.

  • Utiliser TLS pour protéger les informations personnelles en transit.

  • Être conscient des informations qui pourraient être enregistrées par les serveurs, les intermédiaires ou les clients.

  • Considérer les implications sur la vie privée de la mise en cache, en particulier pour les caches partagés.

  • Fournir aux utilisateurs un contrôle sur leurs informations personnelles.

Les applications doivent être conscientes des diverses façons dont les utilisateurs peuvent être suivis:

  • Cookies: Les cookies [COOKIES] peuvent être utilisés pour suivre les utilisateurs entre les sessions et les sites. Les applications devraient utiliser les cookies de manière responsable et envisager des alternatives préservant la vie privée lorsque cela est possible.

  • Adresses IP: Les adresses IP peuvent être utilisées pour identifier ou localiser les utilisateurs. Les applications devraient en être conscientes lors de l'enregistrement ou du traitement des adresses IP.

  • User-Agent: Le champ d'en-tête User-Agent peut révéler des informations sur le navigateur et le système d'exploitation de l'utilisateur, qui peuvent être utilisées pour le fingerprinting.

  • Referer: Le champ d'en-tête Referer peut divulguer des informations sur les pages qu'un utilisateur a visitées. Les applications peuvent vouloir utiliser la politique de référent [REFERRER-POLICY] pour contrôler quand ce champ d'en-tête est envoyé.

  • Attaques par chronométrage: Le temps nécessaire pour traiter les requêtes peut divulguer des informations. Les applications devraient en être conscientes lors du traitement d'opérations sensibles comme l'authentification.

Les applications qui traitent des informations personnelles DEVRAIENT:

  • Se conformer aux réglementations applicables sur la vie privée (par exemple, RGPD, CCPA).

  • Avoir une politique de confidentialité claire.

  • Utiliser des mesures techniques appropriées pour protéger les informations personnelles.

  • Envisager l'utilisation de technologies améliorant la vie privée telles que la confidentialité différentielle ou le calcul multipartite sécurisé lorsque cela est approprié.

Les applications DEVRAIENT être conscientes que même des informations apparemment anodines peuvent être sensibles pour la vie privée en agrégat. Par exemple, les modèles d'accès, les informations de chronométrage ou les métadonnées peuvent révéler des informations sensibles sur les utilisateurs.

Les applications conçues pour être utilisées dans des contextes sensibles (par exemple, santé, finance ou gouvernement) doivent être particulièrement prudentes quant à la vie privée et peuvent avoir besoin de mettre en œuvre des protections supplémentaires au-delà de ce qui est décrit dans ce document.

Enfin, les applications DEVRAIENT considérer les implications sur la vie privée des intégrations tierces, telles que les services d'analyse, les réseaux publicitaires ou les réseaux de diffusion de contenu. Chaque intégration introduit un risque potentiel pour la vie privée qui doit être soigneusement évalué.

Dernière mise à jour le